MiracleLinux 3firefox-3.0.15-3.1AXS3AXSA:2009-419:04
critical Nessus プラグイン ID 284333
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 3 ホストには、AXSA:2009-419:04 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。Mozilla Firefox は、オープンソースの Web ブラウザで、標準へのコンプライアンス、パフォーマンス、ポータブル性を考慮して設計されています。
NSPR は、非 GUI オペレーティングシステム機能のプラットフォーム依存性を提供します。これらの機能には、スレッド、スレッド同期、通常のファイルおよびネットワーク I/O、間隔タイミングおよびカレンダー時間、基本的なメモリ管理 (malloc および free) および共有ライブラリリンクが含まれます。
XULRunner は、Gecko アプリケーション用の XUL Runtime 環境を提供します。
nspr パッケージが含まれています。このリリースで修正されたセキュリティバグ
CVE-2009-1563 Mozilla Firefox 3.0.x より前の 3.0.15 および 3.5.x より前の 3.5.4 の配列インデックスエラーにより、リモートの攻撃者が、浮動小数点変換の際の不適切なメモリ割り当てとヒープベースのバッファオーバーフローを発生させる長い文字列を通じて、任意のコードを実行することが可能です。 。
CVE-2009-3274 Mozilla Firefox 3.6a1、 3.5.2、以前の 2.x と 3.x バージョンの Linux では、ダウンロードウィンドウから選択されたファイルに対して予測可能な /tmp パス名を使用します。これにより、ローカルユーザーは、任意のダウンロード済みファイルをダウンロードが発生する前の /tmp の場所。Archive Manager コンポーネントに関連している可能性があります。
注: これらの詳細にはサードパーティから得られた情報も含まれています。
CVE-2009-33703.0.15より前の Mozilla Firefox 、および 3.5.x より前の 3.5.4において、リモートの攻撃者は、攻撃者が読み取り可能なフォームで、履歴エントリを伴うフォームフィールドを入力するためにオートフィル機能を利用するマウスおよびキーボードイベントを偽造することで、フォームの履歴を読み取ることができます。 。
CVE-2009-33723.0.15 より前の Mozilla Firefox 、 より前の 3.5.x3.5.4、および より前の SeaMonkey では、リモートの攻撃者が、Proxy Auto-configurationPACファイルの細工された正規表現を通じて 2.0、任意のコードを実行することが可能です。
CVE-2009-33733.0.15 より前の Mozilla Firefox、 より前の 3.5.x 、より前の SeaMonkey の GIF 画像パーサーにあるヒープベースの 3.5.4バッファ 2.0オーバーフローにより、リモートの攻撃者が、詳細不明なベクトルで任意のコードを実行することが可能です。
CVE-2009-3374 Mozilla Firefox 3.0.x より前の および 3.0.15 ] より前の 3.5.x3.5.4 の XPCOM 実装の XPCVariant::VariantDataToJS 関数が、chrome 権限コードとリモート Web サイトから取得されるオブジェクトの間の相互作用で、意図された制限を実施しません。これにより、リモートの攻撃者が二重にラップされたオブジェクトに関連する、詳細不明なメソッド呼び出しを介して chrome 権限で任意の JavaScript を実行します。
CVE-2009-3375 ] Mozilla Firefox 3.0.x より前の 3.0.15 および 3.5.4 より前の 3.5.x の content/html/document/src/nsHTMLDocument.cpp のために、ユーザーが支援するリモートの攻撃者が同一生成元ポリシーをバイパスし、document.getSelection を介して任意のコンテンツ選択を読み取る可能性があります。発見しました。
CVE-2009-33763.0.15 より前の Mozilla Firefox、 3.5.x3.5.4] より前の 2.0、ならびに より前の SeaMonkey は、ダウンロードファイル名の左横書きのオーバーライド別名 RLO または U+202EUnicode 文字を適切に処理しません。これにより、リモートの攻撃者が実行可能ファイルに対する非実行可能拡張子を表示することで実証されているように、細工されたファイル名を介してファイル拡張子を偽装することができます。
CVE-2009-3380 Mozilla Firefox 3.0.x より前の 3.0.15 、および 3.5.x より前の 3.5.4 において、ブラウザエンジンでの複数の特定されていない脆弱性により、リモートの攻撃者は、サービス拒否メモリ破損とアプリケーションクラッシュを引き起こしたり、不明なベクトルを通じて、任意のコードを実行したりすることができます。
CVE-2009-3382 ] Mozilla Firefox 3.0.x3.0.15 より前の のブラウザエンジンの layout/base/nsCSSFrameConstructor.cpp が、先頭文字のフレームを適切に処理しないため、リモートの攻撃者が、サービス拒否メモリ破損とアプリケーションクラッシュを引き起こしたり、詳細不明なベクトルを介して任意のコードを実行する可能性があります。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける firefox および/または xulrunner パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 284333
ファイル名: miracle_linux_AXSA-2009-419.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/14
更新日: 2026/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2009-3382
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2009-3380
脆弱性情報
CPE: p-cpe:/a:miracle:linux:xulrunner, p-cpe:/a:miracle:linux:firefox, cpe:/o:miracle:linux:3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2009/11/9
脆弱性公開日: 2009/9/21
参照情報
CVE: CVE-2009-3274, CVE-2009-3370, CVE-2009-3372, CVE-2009-3373, CVE-2009-3374, CVE-2009-3375, CVE-2009-3376, CVE-2009-3380, CVE-2009-3382